Force NTLM Privileged Authentication
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
SharpSystemTriggers to zbiór wyzwalaczy zdalnej autoryzacji napisanych w C# przy użyciu kompilatora MIDL, aby uniknąć zależności od stron trzecich.
Jeśli usługa Print Spooler jest włączona, możesz użyć niektórych już znanych poświadczeń AD, aby zażądać od serwera drukarek kontrolera domeny aktualizacji dotyczącej nowych zadań drukowania i po prostu powiedzieć mu, aby wysłał powiadomienie do jakiegoś systemu. Zauważ, że gdy drukarka wysyła powiadomienie do dowolnych systemów, musi uwierzytelnić się w tym systemie. Dlatego atakujący może sprawić, że usługa Print Spooler uwierzytelni się w dowolnym systemie, a usługa użyje konta komputera w tej autoryzacji.
Używając PowerShell, uzyskaj listę komputerów z systemem Windows. Serwery są zazwyczaj priorytetowe, więc skupmy się na nich:
Używając nieco zmodyfikowanego narzędzia @mysmartlogin (Vincent Le Toux) SpoolerScanner, sprawdź, czy usługa Spooler nasłuchuje:
Możesz również użyć rpcdump.py na Linuxie i szukać protokołu MS-RPRN.
Możesz skompilować SpoolSample stąd.
lub użyj 3xocyte's dementor.py lub printerbug.py, jeśli jesteś na Linuxie
Jeśli atakujący już skompromitował komputer z Nieograniczoną Delegacją, atakujący mógłby sprawić, że drukarka uwierzytelni się w tym komputerze. Z powodu nieograniczonej delegacji, TGT konta komputera drukarki będzie zapisane w pamięci komputera z nieograniczoną delegacją. Ponieważ atakujący już skompromitował ten host, będzie w stanie pobrać ten bilet i go wykorzystać (Pass the Ticket).
Atak PrivExchange
jest wynikiem luki znalezionej w funkcji PushSubscription
serwera Exchange. Ta funkcja pozwala serwerowi Exchange na wymuszenie przez dowolnego użytkownika domeny z skrzynką pocztową uwierzytelnienia do dowolnego hosta dostarczonego przez klienta za pośrednictwem HTTP.
Domyślnie usługa Exchange działa jako SYSTEM i ma nadmierne uprawnienia (konkretnie, ma uprawnienia WriteDacl na domenie przed aktualizacją zbiorczą 2019). Ta luka może być wykorzystana do umożliwienia przekazywania informacji do LDAP i następnie wyodrębnienia bazy danych NTDS domeny. W przypadkach, gdy przekazywanie do LDAP nie jest możliwe, ta luka może być nadal używana do przekazywania i uwierzytelniania do innych hostów w obrębie domeny. Udane wykorzystanie tego ataku zapewnia natychmiastowy dostęp do administratora domeny z dowolnym uwierzytelnionym kontem użytkownika domeny.
Jeśli już jesteś wewnątrz maszyny Windows, możesz wymusić Windows na połączenie z serwerem przy użyciu uprzywilejowanych kont za pomocą:
Lub użyj tej innej techniki: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Możliwe jest użycie certutil.exe lolbin (podpisany przez Microsoft) do wymuszenia uwierzytelniania NTLM:
If you know the email address of the user that logs inside a machine you want to compromise, you could just send him an email with a 1x1 image such as
i gdy to otworzy, spróbuje się uwierzytelnić.
Jeśli możesz przeprowadzić atak MitM na komputer i wstrzyknąć HTML na stronie, którą będzie wizualizował, możesz spróbować wstrzyknąć obrazek taki jak poniżej na stronie:
Jeśli możesz przechwycić wyzwania NTLMv1, przeczytaj, jak je złamać. &#xNAN;Remember, że aby złamać NTLMv1, musisz ustawić wyzwanie Responder na "1122334455667788"
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)